De drie pijlers van e-mailvertrouwen#

Elke e-mail die je verstuurt wordt door de ontvangende server beoordeeld voordat die in iemands inbox belandt. De beoordeling komt neer op één vraag: komt deze e-mail echt van wie hij beweert te komen?

Drie op DNS gebaseerde protocollen beantwoorden die vraag: SPF, DKIM en DMARC. Elk regelt een ander aspect van authenticatie, en samen vormen ze de basis van e-maildeliverability. Als één ervan ontbreekt of verkeerd geconfigureerd is, lopen je e-mails het risico om gefilterd, in quarantaine geplaatst of geweigerd te worden.

Deze gids legt uit wat elk protocol doet, hoe ze samenwerken en hoe je je setup verifieert.

SPF: wie mag er versturen?#

Wat SPF doet#

SPF (Sender Policy Framework) is een DNS TXT-record dat opsomt welke mailservers gemachtigd zijn om namens jouw domein e-mail te versturen. Wanneer een ontvangende server een e-mail krijgt die beweert van yourcompany.com te komen, controleert die het SPF-record om te zien of de verzendende server op de goedgekeurde lijst staat.

Hoe SPF werkt#

Je publiceert een SPF-record in de DNS van je domein (bijv. v=spf1 include:_spf.google.com -all)
Iemand verstuurt een e-mail vanaf je domein
De ontvangende server zoekt je SPF-record op
Hij vergelijkt het IP-adres van de verzendende server met de geautoriseerde lijst
Als het IP geautoriseerd is, slaagt de SPF-check. Zo niet, dan faalt hij

Belangrijke SPF-concepten#

include:-mechanisme — Verwijst naar het SPF-record van een ander domein. Wordt gebruikt om externe diensten als Google Workspace of SendGrid te autoriseren.
-all vs ~all — De -all (hard fail) vertelt ontvangers om ongeautoriseerde verzenders te weigeren. De ~all (soft fail) suggereert ze als verdacht te markeren maar niet te weigeren. Gebruik -all voor sterkere bescherming.
Limiet van 10 DNS-lookups — SPF-records kunnen maximaal 10 DNS-lookups triggeren. Boven die limiet faalt SPF volledig. Dit is een veelvoorkomend probleem voor domeinen die veel e-maildiensten gebruiken.

Veelgemaakte SPF-fouten#

Vergeten een nieuwe e-maildienst aan je SPF-record toe te voegen
De 10-lookup-limiet overschrijden door te veel diensten op te nemen
+all gebruiken, wat iedereen autoriseert (en SPF feitelijk uitschakelt)
Meerdere SPF-records hebben (er is er maar één per domein toegestaan)

Controleer je SPF-configuratie met de gratis SPF Checker.

DKIM: is er met de e-mail geknoeid?#

Wat DKIM doet#

DKIM (DomainKeys Identified Mail) voegt een cryptografische handtekening toe aan elke uitgaande e-mail. Die handtekening bewijst twee dingen: de e-mail komt van jouw domein, en de inhoud is onderweg niet aangepast.

Hoe DKIM werkt#

Je e-mailserver genereert een public/private key pair
De public key wordt gepubliceerd als een DNS TXT-record op selector._domainkey.yourdomain.com
Bij het versturen van een e-mail tekent je server een hash van de e-mailheaders en body met de private key
De handtekening wordt als een DKIM-Signature-header aan de e-mail toegevoegd
De ontvangende server haalt je public key op uit DNS en verifieert de handtekening
Als de handtekening klopt, is de e-mail geauthenticeerd en niet aangepast

Belangrijke DKIM-concepten#

Selectors — Elke DKIM-key heeft een selectornaam (zoals google, s1 of default). Dit maakt het mogelijk dat een domein meerdere DKIM-keys heeft voor verschillende e-maildiensten.
Key rotation — Best practice is om DKIM-keys regelmatig te rouleren. Selectors maken dit mogelijk zonder de dienst te onderbreken.
Bereik van de handtekening — DKIM tekent specifieke headers en de body. Mailinglijsten die e-mails aanpassen, kunnen DKIM-handtekeningen breken.

Veelgemaakte DKIM-fouten#

DKIM aanzetten in je e-mailprovider maar vergeten het DNS-record toe te voegen
Een te korte key gebruiken (1024-bit minimum, 2048-bit aanbevolen)
DKIM niet voor al je verzendende diensten configureren (elke dienst heeft een eigen selector nodig)

Verifieer je DKIM-setup met de gratis DKIM Checker.

DMARC: wat moet er gebeuren als de checks falen?#

Wat DMARC doet#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) bindt SPF en DKIM samen met een beleid. Het vertelt ontvangende servers wat ze moeten doen wanneer een e-mail de authenticatie niet doorstaat en biedt een rapportagemechanisme zodat je kunt zien wie e-mail vanaf jouw domein verstuurt.

Hoe DMARC werkt#

Je publiceert een DMARC-record in DNS op _dmarc.yourdomain.com
Een ontvangende server krijgt een e-mail vanaf je domein
Hij controleert SPF en DKIM
Hij controleert of een van beide resultaten "aligned" is met het From-domein
Als de alignment faalt, volgt hij je DMARC-beleid: none (alleen monitoren), quarantine (naar spam sturen) of reject (volledig blokkeren)
Hij stuurt geaggregeerde rapporten naar het adres dat in je DMARC-record staat

Belangrijke DMARC-concepten#

Alignment — SPF-alignment betekent dat het envelope-sender-domein overeenkomt met het From-headerdomein. DKIM-alignment betekent dat het ondertekenende domein overeenkomt met het From-domein. Ten minste één moet aligned zijn voor DMARC om te slagen.
Beleidsprogressie — Begin met p=none om te monitoren zonder de bezorging te beïnvloeden. Ga over op p=quarantine zodra je zeker weet dat legitieme e-mail slaagt. Stap door naar p=reject voor maximale bescherming.
Rapportage (rua) — De rua-tag geeft aan waar geaggregeerde DMARC-rapporten heen worden gestuurd. Die rapporten laten je alle e-mailactiviteit op je domein zien, inclusief ongeautoriseerde verzenders.

Veelgemaakte DMARC-fouten#

Direct doorpakken naar p=reject zonder eerst te monitoren (blokkeert legitieme e-mail van verkeerd geconfigureerde diensten)
Geen rua-adres voor rapporten instellen (blind vliegen)
Vergeten dat externe diensten SPF/DKIM-alignment nodig hebben, niet alleen SPF/DKIM-passes

Controleer je DMARC-beleid met de gratis DMARC Checker.

Hoe alle drie samenwerken#

SPF, DKIM en DMARC zijn complementair, niet overbodig:

Protocol	Vraag die wordt beantwoord	Wat het bewijst
SPF	Is deze server geautoriseerd?	De verzendende server is goedgekeurd
DKIM	Is deze e-mail authentiek?	Er is niet met de e-mail geknoeid
DMARC	Wat gebeurt er bij een fout?	Ongeautoriseerde e-mails worden goed afgehandeld

Een e-mail die alle drie de checks doorstaat heeft de hoogste kans om de inbox te bereiken. Een e-mail die er één faalt, kan gefilterd, in quarantaine geplaatst of geweigerd worden, afhankelijk van het beleid van de ontvangende server.

De ideale configuratie#

SPF: gepubliceerd met alle legitieme verzendende diensten, eindigend op -all
DKIM: geconfigureerd voor elke dienst die namens jou e-mail verstuurt
DMARC: ingesteld op p=reject (of minimaal p=quarantine) met rua-rapportage aan

Je setup controleren#

Voer alle drie de checks tegelijk uit met de Email Health Checker, die SPF, DKIM, DMARC, MX-records en blacklist-status in één scan beoordeelt. Voor diepgaander onderzoek van individuele protocollen kun je de speciale checkers gebruiken:

SPF Checker — Gedetailleerde analyse van SPF-records
DKIM Checker — DKIM-key-detectie en -validatie
DMARC Checker — Beleidsbeoordeling en aanbevelingen

Voor doorlopende monitoring controleert de email health monitoring van Nova Uptime regelmatig je authenticatie-setup en waarschuwt je wanneer er iets verandert — zodat je verkeerde configuraties opvangt voordat ze de deliverability raken.

Verder lezen#

Complete Guide to Email Health Checker — Volledige walkthrough van e-mail-healthanalyse
How to Check Inbox Risk Before Sending Cold Emails — Inboxrisico-evaluatie vóór verzending
DKIM Explained: Complete Guide — Diepgaande gids over DKIM
DMARC Policy Setup Guide — Stapsgewijze DMARC-configuratie
Configure SPF Records — Gids voor het instellen van SPF-records
10 Free Email and Domain Tools — Alle beschikbare gratis tools
Is My Email Blacklisted? — Controleer blacklist-status en los noteringen op

SPF, DKIM en DMARC: de complete gids voor e-mailauthenticatie